29
2月
2024
13:47

无需 sudo 即可启动 Wireshark,并组织环形缓冲区以捕获 LAN 流量

29 2月 2024 13:47

Wireshark 是一款跨平台工具,用于捕获和分析局域网 (LAN) 上的互联网或局域网流量。它包含在所有 Linux 发行版中,也可以从软件仓库安装。它的一个缺点是,默认情况下,只有在使用 sudo 命令提升权限后才能看到网卡。另一个缺点是 /tmp 文件夹中的临时捕获文件很快就会被填满。

1. 以普通用户身份运行 Wireshark(无需 sudo)

1) 安装 Wireshark 应用程序

常规:

sudo apt-get install wireshark

或来自存储库:

sudo add-apt-repository ppa:dreibh/ppa
sudo apt-get update
sudo apt-get install wireshark

2) 启用从任何用户运行的能力 - 创建用户组“wireshark"

sudo dpkg-reconfigure wireshark-common

回答是。

3)将当前用户的登录添加到组“wireshark"

sudo adduser $USER wireshark

sudo usermod -a -G wireshark $USER

4)任意用户下启用抓包记录

sudo chmod +x /usr/bin/dumpcap

5)之后,您可以从当前用户启动

wireshark

2. 在中设置环形缓冲区wireshark

1) 创建一个要捕获的文件夹,并在其中创建一个空文件,其名称将成为缓冲区文件的模板:

cd ~
mkdir wireshark-capture
cd wireshark-capture
touch record

2) 在 wireshark 进入菜单 “捕获”-“输出” 并进行设置:

  • “捕获到永久文件:” -“打开” - 选择项目中创建的文件 - 例如,/home/username/wireshark-capture/record您想更换它吗?
  • 顶部复选框 自动创建新文件
  • 80000 数据包 之后(对应大小约为 74-77 MB 的捕获文件)
  • 50 兆字节 之后(相同大小的文件 47.7 MiB
  • 下面 使用带有 3 个文件的环形缓冲区 (3 到 5 个任意数量的文件)
  • 好的

使用红色 “停止” 按钮或 Ctrl+E 键关闭捕获。

要重新使用环形缓冲区,请重复以下步骤
“捕获”-“输出” 等。 关于保存以前数据的问题的答案是否定的。

来源:
Creating a rolling or ring buffer packet capture in Wireshark for窗户
设置无线reshark for non root user



相关出版物

语言

主题

RSS订阅

Atom 1.0 RSS

热门标签

随机发布

我会很幸运!

出版物档案

站内搜索

天气预报